Configure la postura ISE con FlexVPN

Introducción

Este documento proporciona a un ejemplo de cómo configurar un headend IOS XE para el Acceso Remoto con la postura usando AnyConnect IKEv2 y el método de autenticación de la publicación de mensaje EAP 5 (EAP-MD5).

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Configuración VPN del Acceso Remoto de FlexVPN (RA) en IOS XE
• Confiugration del cliente de AnyConnect (CA)
• Flujo de la postura en el motor del servicio de la identidad (ISE) 2.2 y más adelante
• Configuración de los componentes de la postura en ISE
• Configuración del servidor DNS en el Servidor Windows 2008 R2

Componentes usados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco CSR1000V que ejecuta el [Fuji] IOS XE 16.8
• Versión de cliente 4.5.03040 de AnyConnect que se ejecuta en Windows 7
• Cisco ISE 2.3
• Servidor R2 de Windows 2008

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Para asegurarse de que las medidas de seguridad de la red impuestas sigan siendo relevantes y eficaces, Cisco ISE le permite validar y mantener las capacidades de seguridad en cualquier máquina del cliente que tenga acceso a la red protegida. Empleando las directivas de la postura que se diseñan para asegurarse de que los ajustes de seguridad o las aplicaciones más actualizados están disponibles en las máquinas del cliente, el administrador de Cisco ISE puede asegurarse de que cualquier máquina del cliente que tenga acceso la red se encuentra, y continúa encontrándose, los estándares de seguridad definidos para el acceso de red de empresas. Los informes de la conformidad de la postura proveen de Cisco ISE una foto de la conformidad llana de la máquina del cliente a la hora del ingreso del usuario al sistema, así como cualquier momento ocurre una nueva valoración periódica.

La postura se puede representar por tres elementos principales:

1. ISE como una distribución y punto de decisión de la configuración de la política. De la perspectiva del administrador en ISE usted configura las directivas de la postura (qué condiciones exactas se deben cumplir para marcar el dispositivo como obediente corporativo), las directivas de aprovisionamiento del cliente (qué software del agente debe ser instalado en qué clase de dispositivos) y directivas de la autorización (qué clase de permisos debe ser asignado, depende de su estatus de la postura).
   
   
2. Dispositivo de acceso a la red (NAD) como punta de la aplicación de políticas. En la autorización real lateral NAD las restricciones son aplicadas en la época de la autenticación de usuario. ISE como punta de la directiva proporciona a los parámetros de autorización como la lista de control de acceso (ACL). Tradicionalmente, para que la postura suceda, los NAD se requieren para utilizar el cambio de la autorización (CoA) de reauthenticate al usuario después de que el estatus de la postura de la punto final sea resuelto. A partir de ISE 2.2 los NAD no se requieren para utilizar el cambio de dirección.
   

   Note: El Routers que funciona con IOS XE no utiliza el cambio de dirección.

   Note: El software IOS XE debe tener arreglos para que los defectos siguientes tengan CoA con ISE completamente - operativo:
   El CoA CSCve16269 IKEv2 no trabaja con ISE
   El CoA CSCvi90729 IKEv2 no trabaja con ISE (el coa-push=TRUE en vez de verdad)

3. Software del agente como punta de la recopilación de datos y de la interacción con el usuario final. El agente recibe la información sobre los requisitos de la postura del ISE y proporciona al informe al ISE con respecto al estatus del requisito. Este documento se basa en el módulo de la postura de Anyconnect ISE que es el único que utiliza la postura completamente sin el cambio de dirección.

El flujo de la postura sin el cambio de dirección se documenta muy bien en el flujo de la postura de la sección del artículo “comparación del estilo de la postura ISE para pre y el poste el 2.2", “en ISE el 2.2".

 El aprovisionamiento del módulo de la postura de Anyconnect ISE con FlexVPN se puede hacer por 2 maneras diferentes:

• Manual - el módulo está instalado manualmente en el worksation del cliente del paquete de Anyconnect disponible en el portal de la transferencia directa de software de Cisco: https://software.cisco.com/download/home/283000185.

Las condiciones siguientes se deben satisfacer para el trabajo de la postura con el aprovisionamiento manual del módulo de la postura ISE:

1. El domain name server (DNS) debe resolver el nombre de dominio completo (FQDN) enroll.cisco.com a los Nodos del servicio de la directiva (PSNs) IPS. Durante el primer intento de conexión el módulo de la postura no tiene ninguna información sobre PSNs disponible. Está enviando las sondas de detección para encontrar PSNs disponible. El FQDN enroll.cisco.com se utiliza en una de estas puntas de prueba.

2. El puerto 8905 TCP se debe permitir para PSNs IPS. La postura va vía el puerto 8905 TCP en este decorado.

3. El certificado Admin en los Nodos PSN debe tener enroll.cisco.com en el campo SAN. La conexión entre el usuario de VPN y el nodo PSN vía TCP 8905 se protege vía el certificado Admin y el usuario conseguirá una advertencia del certificado si no hay tal nombre “enroll.cisco.com” en el certificado Admin de nodo PSN.

Note: Según el certificado del RFC6125 el CNs debe ser ignorado si hay valores SAN especificados. Significa que también necesitamos agregar el CNs del certificado Admin en el campo SAN.

• El aprovisionamiento automático vía el portal de disposición del cliente (CPP) - el módulo downloded y es instalado del ISE por CPP de acceso directamente vía el FQDN porta.

Las condiciones siguientes se deben satisfacer para el trabajo de la postura con el aprovisionamiento automático del módulo de la postura ISE:

1. El DNS debe resolver el FQDN de CPP a los Nodos del servicio de la directiva (PSNs) IPS.

2. Los puertos 80, 443 y puerto TCP de CPP (8443 por abandono) se deben permitir para PSNs IPS. El cliente necesita abrir CPP FQDN directamente vía el HTTP (será reorientado al HTTPS) o el HTTPS, esta petición será reorientada al puerto de CPP (8443 por abandono) y entonces la postura va vía ese puerto.

3. Los Certificados Admin y de CPP en los Nodos PSN deben tener CPP FQDN en el campo SAN. La conexión entre el usuario de VPN y el nodo PSN vía TCP 443 es protegida por el certificado Admin y la conexión en el puerto de CPP es protegida por el certificado de CPP.

Note: Según el certificado del RFC6125 el CNs debe ser ignorado si hay valores SAN especificados. Significa que también necesitamos agregar el CNs del Admin y de los Certificados de CPP en el campo SAN de los Certificados correspondientes.

Note: Si el software ISE no contiene un arreglo para CSCvj76466 entonces posture o el aprovisionamiento del cliente trabajará solamente si el aprovisionamiento del posure o del cliente se hace en el mismo PSN en el cual autenticaron al cliente.

En caso de la postura con FlexVPN el flujo incluye estos pasos:

1. El usuario conecta con el concentrador de FlexVPN usando el cliente de Anyconnect.

2. ISE envía Acceso-valida al concentrador de FlexVPN con el nombre del ACL necesita ser solicitado el acceso de restricción.

3a. Primera conexión con el aprovisionamiento manual - El módulo de la postura ISE comienza a descubrir al servidor de políticas que envía la punta de prueba a enroll.cisco.com vía el puerto 8905 TCP. Como un resultado acertado el módulo de la postura descarga el perfil configurado de la postura y pone al día el módulo de la conformidad en el lado del cliente.

Durante los intentos de conexión siguientes el módulo de la postura ISE también utilizará los nombres y el IPS especificados en la lista del Call Home del perfil de la postura para la detección del servidor de políticas.

3b. Primera conexión con el aprovisionamiento automático - El cliente abre CPP vía el FQDN. Mientras que descargan a un ayudante acertado de la configuración de la red del resultado en el puesto de trabajo del cliente, y entonces él descarga y instala el módulo de la postura ISE, el módulo de la conformidad ISE y el perfil de la postura.

Durante los intentos de conexión siguientes el módulo de la postura ISE utilizará los nombres y el IPS especificados en la lista del Call Home del perfil de la postura para la detección del servidor de políticas.

4. Posture los controles del comienzo del módulo de la conformidad y envía los resultados de controlar al ISE.

5. Si el estatus del cliente es obediente entonces ISE envía Acceso-valida al concentrador de FlexVPN con el nombre del ACL necesita ser solicitado el cliente obediente.

6, cliente consigue el acceso a la red.

Más detalles sobre el proceso de la postura que usted puede encontrar en comparación del estilo de la postura ISE del documento “para pre y el poste el 2.2".

Configurar

Diagrama de la red

El usuario de VPN conseguirá el acceso al servidor (10.0.0.10) solamente si él tiene estatus obediente.

Configuración del servidor DNS

En este Servidor Windows 2008 del documento R2 se utiliza como servidor DNS.

Paso 1. Agregue el expediente del host (a) para enroll.cisco.com que señala al IP PSN:

Paso 2. Agregue el expediente del host (a) para CPP FQDN (cpp.example.com usado en este ejemplo) que señala al IP PSN:

Configuración inicial IOS XE

Configure el certificado de identidad

El router utilizará el certificado para autenticarse al cliente de Anyconnect. El certificado del router se debe confiar en por el sistema operativo del usuario para evitar la advertencia del certificado durante la fase del establecimiento de la conexión.

El certificado de identidad se puede proporcionar en una de las maneras siguientes:

Note: Usando los certificados autofirmados no se utiliza con IKEv2 FlexVPN.

Opción 1 - Configure el servidor de las autoridades de certificación (CA) en el router

Note: El servidor CA se puede crear en el mismo router IOS u otro router. En este artículo el CA se crea en el mismo router.

Note: Usted necesita sincronizar el tiempo al servidor NTP antes de que el servidor CA pueda ser activado.

Note: Observe por favor que el usuario no podrá verificar la autenticidad de este certificado, así los datos del usuario no serán protegidos contra los ataques del intermediario a menos que el certificado CA se verifique y se importe manualmente en la máquina del usuario antes de establecer la conexión.

Paso 1. Genere las claves RSA para el servidor CA:

FlexVPN-HUB(config)# crypto key generate rsa label ROOT-CA modulus 2048

Paso 2. Genere las claves RSA para el certificado de identidad:

FlexVPN-HUB(config)# crypto key generate rsa label FLEX-1 modulus 2048

Verificación:

FlexVPN-HUB# show crypto key mypubkey rsa

 ---- output truncated -----

Key name: ROOT-CA
Key type: RSA KEYS
 Storage Device: private-config
 Usage: General Purpose Key
 Key is not exportable. Redundancy enabled.
 Key Data:
  30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 
  00C01F04 E0AF3AB8 97CED516 3B31152A 5C3678A0 829A0D0D 2F46D86C 2CBC9175 

----- output truncated ------

----- output truncated ------

Key name: FLEX-1
Key type: RSA KEYS
 Storage Device: private-config
 Usage: General Purpose Key
 Key is not exportable. Redundancy enabled.
 Key Data:
  30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 
  009091AE 4185DC96 4F561F7E 506D56E8 240606D0 CC16CC5E E4E24EEB 1664E42C

----- output truncated ------

Paso 3. Configure el CA:

ip http server
crypto pki server ROOT-CA
 issuer-name cn=ROOT-CA.example.com
 hash sha256
 lifetime certificate 1095
 lifetime ca-certificate 3650
 eku server-auth
 no shutdown

Verificación:

FlexVPN-HUB# show crypto pki server

Certificate Server ROOT-CA:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: cn=ROOT-CA.example.com
    CA cert fingerprint: A5522AAB 1410E645 667F0D70 49AADA45 
    Granting mode is: auto
    Last certificate issued serial number (hex): 3
    CA certificate expiration timer: 18:12:07 UTC Mar 26 2021
    CRL NextUpdate timer: 21:52:55 UTC May 21 2018
    Current primary storage dir: nvram:
    Database Level: Minimum - no cert data written to storage

Paso 4. Configure el trustpoint:

interface loopback 0
ip address 10.10.10.10 255.255.255.255
crypto pki trustpoint FLEX-TP-1
 enrollment url http://10.10.10.10:80
 fqdn none
 subject-name cn=flexvpn-hub.example.com
 revocation-check none
 rsakeypair FLEX-1

Paso 5. Autentique el CA:

FlexVPN-HUB(config)#crypto pki authenticate FLEX-TP-1
Certificate has the following attributes:
       Fingerprint MD5: A5522AAB 1410E645 667F0D70 49AADA45 
      Fingerprint SHA1: F52EAB1A D39642E7 D8EAB804 0EB30973 7647A860 

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.

Paso 6. Aliste al router al CA:

FlexVPN-HUB(config)#crypto pki enroll FLEX-TP-1
%
% Start certificate enrollment .. 
% Create a challenge password. You will need to verbally provide this
   password to the CA Administrator in order to revoke your certificate.
   For security reasons your password will not be saved in the configuration.
   Please make a note of it.

Password: 
Re-enter password: 

% The subject name in the certificate will include: cn=flexvpn-hub.example.com
% The fully-qualified domain name will not be included in the certificate
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose FLEX-TP-1' commandwill show the fingerprint.

May 21 16:16:55.922: CRYPTO_PKI:  Certificate Request Fingerprint MD5: 80B1FAFD 35346D0F D23F6648 F83F039B 
May 21 16:16:55.924: CRYPTO_PKI:  Certificate Request Fingerprint SHA1: A8401EDE 35EE4AF8 46C4D619 8D653BFD 079C44F7 

Controle hasta que finalicen las solicitudes de certificado en el CA y verifique que la huella dactilar hace juego:

FlexVPN-HUB#show crypto pki server ROOT-CA requests
Enrollment Request Database:

Subordinate CA certificate requests:
ReqID  State      Fingerprint                      SubjectName
--------------------------------------------------------------

RA certificate requests:
ReqID  State      Fingerprint                      SubjectName
--------------------------------------------------------------

Router certificates requests:
ReqID  State      Fingerprint                      SubjectName
--------------------------------------------------------------
1      pending    80B1FAFD35346D0FD23F6648F83F039B cn=flexvpn-hub.example.com

Paso 7. Grant el certificado usando ReqID apropiado:

FlexVPN-HUB#crypto pki server ROOT-CA grant 1

Espere hasta las peticiones del router el certificado otra vez (según esta configuración controlará 10 veces una vez por el minuto). Busque el mensaje de Syslog:

May 21 16:18:56.375: %PKI-6-CERTRET: Certificate received from Certificate Authority

Verifique que el certificado esté instalado:

FlexVPN-HUB#show crypto pki certificates FLEX-TP-1                           
Certificate
  Status: Available
  Certificate Serial Number (hex): 04
  Certificate Usage: General Purpose
  Issuer: 
    cn=ROOT-CA.example.com
  Subject:
    Name: flexvpn-hub.example.com
    cn=flexvpn-hub.example.com
  Validity Date: 
    start date: 16:18:16 UTC May 21 2018
    end   date: 18:12:07 UTC Mar 26 2021
  Associated Trustpoints: FLEX-TP-1 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer: 
    cn=ROOT-CA.example.com
  Subject: 
    cn=ROOT-CA.example.com
  Validity Date: 
    start date: 18:12:07 UTC Mar 27 2018
    end   date: 18:12:07 UTC Mar 26 2021
  Associated Trustpoints: FLEX-TP-1 ROOT-CA 
  Storage: nvram:ROOT-CAexamp#1CA.cer

Opción 2 - Certficate externamente firmado de la importación

FlexVPN-HUB(config)# crypto pki import FLEX-TP-2 pkcs12 ftp://cisco:cisco@10.48.30.130/ password cisco123
% Importing pkcs12...
Address or name of remote host [10.48.30.130]? 
Source filename [FLEX-TP-2]? flexvpn-hub.example.com.p12
Reading file from ftp://cisco@10.48.30.130/flexvpn-hub.example.com.p12!
[OK - 4416/4096 bytes]
% The CA cert is not self-signed.
% Do you also want to create trustpoints for CAs higher in
% the hierarchy? [yes/no]: 
May 21 16:55:26.344: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named FLEX-TP-2 has been generated or imported
yes
CRYPTO_PKI: Imported PKCS12 file successfully.
FlexVPN-HUB(config)#
May 21 16:55:34.396: %PKI-6-PKCS12IMPORT_SUCCESS: PKCS #12 Successfully Imported.
FlexVPN-HUB(config)#

Configure IKEv2

Paso 1. Configure el servidor de RADIUS y el CoA:

aaa group server radius FlexVPN-AuthC-Server-Group-1
 server-private 10.48.30.127 key Cisco123
 server-private 10.48.30.128 key Cisco123

aaa server radius dynamic-author
 client 10.48.30.127 server-key Cisco123
 client 10.48.30.128 server-key Cisco123
 server-key Cisco123
 auth-type any

Paso 2. Configure las listas de la autenticación y de la autorización:

aaa new-model
aaa authentication login FlexVPN-AuthC-List-1 group FlexVPN-AuthC-Server-Group-1
aaa authorization network FlexVPN-AuthZ-List-1 local 
aaa accounting update newinfo
aaa accounting network FlexVPN-Accounting-List-1 start-stop group FlexVPN-AuthC-Server-Group-1

Paso 3. Cree la directiva de la autorización ikev2:

crypto ikev2 authorization policy FlexVPN-Local-Policy-1 
 pool FlexVPN-Pool-1
 dns 10.48.30.104
 netmask 255.255.255.0
 def-domain example.com

Paso 4. Cree el perfil IKEv2:

crypto ikev2 profile FlexVPN-IKEv2-Profile-1
 match identity remote key-id example.com
 identity local dn 
 authentication local rsa-sig
 authentication remote eap query-identity
 pki trustpoint FLEX-TP-2
 dpd 60 2 on-demand
 aaa authentication eap FlexVPN-AuthC-List-1
 aaa authorization group eap list FlexVPN-AuthZ-List-1 FlexVPN-Local-Policy-1
 aaa authorization user eap cached
 aaa accounting eap FlexVPN-Accounting-List-1
 virtual-template 10

Paso 5. Create transforma el conjunto y el perfil de ipsec:

crypto ipsec transform-set FlexVPN-TS-1 esp-aes esp-sha-hmac 
 mode tunnel
crypto ipsec profile FlexVPN-IPsec-Profile-1
 set transform-set FlexVPN-TS-1 
 set ikev2-profile FlexVPN-IKEv2-Profile-1

Paso 6. Cree la interfaz de plantilla virtual:

interface Virtual-Template10 type tunnel
 ip unnumbered GigabitEthernet3
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile FlexVPN-IPsec-Profile-1

Paso 7. Cree a la agrupación local:

ip local pool FlexVPN-Pool-1 10.20.30.100 10.20.30.200

Paso 8. Cree el ACL para restringir el acceso para los clientes no-obedientes. Durante el estado desconocido de la postura por lo menos esos permisos deben ser proporcionados:

• Tráfico DNS
• Tráfico a ISE PSNs vía los puertos 80, 443 y 8905
• Tráfico a ISE PSNs al cual CPP FQDN porta señala
• Tráfico a los servidores de la corrección si es necesario

Éste es un ejemplo del ACL sin los servidores de la corrección, explícito niega para 10.0.0.0/24 que la red se agrega para la visibilidad, implícito “niega el IP cualquier” existe en el final del ACL: 

ip access-list extended DENY_SERVER
 permit udp any any eq domain
 permit tcp any host 10.48.30.127 eq 80
 permit tcp any host 10.48.30.127 eq 443
 permit tcp any host 10.48.30.127 eq 8443
 permit tcp any host 10.48.30.127 eq 8905
 permit tcp any host 10.48.30.128 eq 80
 permit tcp any host 10.48.30.128 eq 443
 permit tcp any host 10.48.30.128 eq 8443
 permit tcp any host 10.48.30.128 eq 8905
 deny   ip any 10.0.0.0 0.0.0.255

Paso 9. Cree el ACL para permitir el acceso para los clientes obedientes:

ip access-list extended PERMIT_ALL
 permit ip any any

Paso 10. Configuración del túnel dividido (opcional)

Por abandono, todo el tráfico será dirigido sobre el VPN. Para tráfico de túnel solamente a las redes específicadas, usted puede especificarlas en la sección Política de la autorización ikev2. Es posible agregar los varios enunciados o utilizar la acceso-lista estándar.

crypto ikev2 authorization policy FlexVPN-Local-Policy-1
     route set remote ipv4 10.0.0.0 255.0.0.0

Paso 11 Acceso a internet para los clientes remotos (opcionales)

Para que las conexiones salientes de los clientes de acceso remoto a los host en Internet a ser Nacional-ed a la dirección IP global del router, configure la traducción de NAT:

ip access-list extended NAT
 permit ip 10.20.30.0 0.0.0.255 any

ip nat inside source list NAT interface GigabitEthernet1 overload extended

interface GigabitEthernet1
 ip nat outside

interface Virtual-Template 10
 ip nat inside

Configuración del perfil del cliente de Anyconnect

Configure el perfil del cliente usando el editor del perfil de AnyConnect. Los perfiles del cliente móvil de la Seguridad de Anyconnect en Windows 7 y 10 se guardan en el %ProgramData% \ Cisco \ Cliente de movilidad Cisco AnyConnect Secure \ perfil.

Paso 1. Característica porta prisionera de la detección de la neutralización. Si el servidor HTTP no se inhabilita en el concentrador de FlexVPN, la característica porta prisionera de la detección de AnyConnect hará la conexión fallar. Observe por favor que el servidor CA no funcionará sin el servidor HTTP.

Paso 2. Configure la lista de servidores:

• Ingrese el nombre de la visualización.

• Ingrese el FQDN o el IP address del concentrador de FlexVPN.

• Seleccione IPsec como protocolo primario.

• Uncheck “el checkbox del gateway ASA” y especifique el EAP-MD5 como método auténtico. Ingrese la identidad IKE exactamente lo mismo que en la configuración del perfil IKEv2 en el concentrador de FlexVPN (en este ejemplo el perfil IKEv2 se configura con “emparejamiento el comando clave-identificación identidad example.com alejado”, así que necesitamos utilizar example.com como identidad IKE).

Paso 3. Salve el perfil hasta el %ProgramData% \ Cisco \ Cliente de movilidad Cisco AnyConnect Secure \ perfil y recomience la CA.

El equivalente XML del perfil:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
        <AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>
        <CertificateStore>All</CertificateStore>
        <CertificateStoreMac>All</CertificateStoreMac>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>
        <AllowLocalProxyConnections>false</AllowLocalProxyConnections>
        <AuthenticationTimeout>12</AuthenticationTimeout>
        <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
        <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
        <LocalLanAccess UserControllable="true">false</LocalLanAccess>
        <DisableCaptivePortalDetection UserControllable="false">true</DisableCaptivePortalDetection>
        <ClearSmartcardPin UserControllable="true">false</ClearSmartcardPin>
        <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
        <AutoReconnect UserControllable="false">true
            <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
        </AutoReconnect>
        <AutoUpdate UserControllable="false">true</AutoUpdate>
        <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
        <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
        <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
        <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
        <PPPExclusion UserControllable="false">Automatic
            <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
        </PPPExclusion>
        <EnableScripting UserControllable="false">false</EnableScripting>
        <EnableAutomaticServerSelection UserControllable="true">false
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false
        </RetainVpnOnLogoff>
        <AllowManualHostInput>true</AllowManualHostInput>
    </ClientInitialization>
    <ServerList>
        <HostEntry>
            <HostName>FLEXVPN</HostName>
            <HostAddress>flexvpn-hub.example.com</HostAddress>
            <PrimaryProtocol>IPsec
                <StandardAuthenticationOnly>true
                    <AuthMethodDuringIKENegotiation>EAP-MD5</AuthMethodDuringIKENegotiation>
                    <IKEIdentity>example.com</IKEIdentity>
                </StandardAuthenticationOnly>
            </PrimaryProtocol>
        </HostEntry>
    </ServerList>
</AnyConnectProfile>

Configuración ISE

Configuración de los Certificados Admin y de CPP

Note: El cambio del certificado Admin recomenzará el nodo en el cual se ha cambiado el certificado.

Paso 1. Van a la administración - > sistema - > los Certificados - > los pedidos de firma de certificado, hacen clic en generan los pedidos de firma de certificado (CSR):

Paso 2. En el nodo necesario selecto abierto PSN de la página, llene los campos necesarios y agregue el FQDN del nodo, enroll.cisco.com, cpp.example.com y la dirección IP del nodo en los campos y el tecleo SAN genera:

Note: Si usted selecciona el Multi-uso en este paso usted puede utilizar el mismo certificado para el portal también.

En la exportación aparecida del tecleo de la ventana para salvar el CSR en el PEM formate a la estación de trabajo local:

Paso 3. Cante el CSR con el CA de confianza y consiga el archivo de certificado del CA así como el encadenamiento lleno de los Certificados CA (raíz e intermedio).

Paso 4. Van a la administración - > sistema - > los Certificados - > los certificados confiables, importación del tecleo. En el tecleo de la siguiente pantalla elija el fichero y seleccione certificado raíz CA el fichero, llenan el nombre descriptivo y la descripción si es necesario, de confianza necesario selecto para las opciones y el tecleo someten:

Relance este paso para todos los Certificados intermedios en el encadenamiento si hay ninguno.

Paso 5. Vuelva a la administración - > sistema - > los Certificados - > los pedidos de firma de certificado, CSR necesario selecto y certificado del lazo del tecleo:

Paso 6. En el tecleo abierto de la página elija el fichero, seleccione el archivo de certificado recibido del CA, después ingrese el nombre cómodo si está necesitado, después seleccione el uso: Admin (uso: El portal también puede ser seleccionado aquí si el CSR fue creado con el Multi-uso) y el tecleo somete:

Paso 7. En el tecleo móvil amonestador sí para acabar la importación. El nodo afectado cambiando del certificado Admin será recomenzado:

Relance los pasos para cambiar el certificado de CPP si usted decidía utilizar el certificado separado para el portal. En el uso selecto del paso 6: El portal y el tecleo someten:

Relance los pasos para todo el PSNs en el despliegue ISE.

Cree a un usuario local en ISE

Note: Con el método del EAP-MD5, solamente apoyan a los usuarios locales en ISE.

Paso 1. Van a la administración - > Administración de Indentity - > las identidades - > los usuarios, tecleo agregan.

Paso 2. En la página abierta ingrese el username, contraseña y la otra información necesaria y tecleo someten.

Agregue el CONCENTRADOR de FlexVPN como cliente del radio

Paso 1. Van a los centros de trabajo - > postura - > los dispositivos de red, tecleo agregan.

Ster 2. En la página abierta ingrese el Nombre del dispositivo, IP address, la otra información necesaria, controlan la casilla de verificación “configuraciones de la autenticación de RADIUS”, ingresan el secreto compartido y el tecleo somete en la parte inferior de la página.

Configuración del aprovisionamiento del cliente

Éstos son los pasos para preparar la configuración de Anyconnect.

Paso 1. Transferencia directa del paquete de Anyconnect. El paquete sí mismo de Anyconnect no está disponible para la transferencia directa directa de ISE así que antes de que usted comience, se asegura de que la CA está disponible en su PC. Este link se puede utilizar para la transferencia directa CA - http://cisco.com/go/anyconnect. En este paquete del documento anyconnect-win-4.5.05030-webdeploy-k9.pkg se utiliza.

Paso 2. Para cargar por teletratamiento el paquete CA a ISE, navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente - > el tecleo de Resourcesand agrega. Elija a los recursos del agente del disco local. En la nueva ventana elija Cisco proporcionó a los paquetes, el tecleo elige el fichero y selecciona el paquete CA en su PC.

El tecleo somete para acabar la importación. Verifique que el hash y la prensa de los pacage confirmen.

Paso 3. El módulo de la conformidad tiene que ser cargado por teletratamiento a ISE. En el mismo tecleo de la página (centros de trabajo - > postura - > aprovisionamiento del cliente - > los recursos) agregue y elija a los recursos del agente del sitio de Cisco. En la lista de recursos usted debe controlar un módulo de la conformidad y hacer clic la salvaguardia. Para este módulo de la conformidad de AnyConnectComplianceModuleWindows 4.3.50.0 del documento se utiliza.

Paso 4. Ahora el perfil de la postura CA tiene que ser creado. Haga clic agregan y eligen el perfil del agente NAC o de la postura de Anyconnect.

• Elija el tipo del perfil. AnyConnect si utilícese para este decorado. 
  
  
• Especifique el nombre del perfil. Navegue para posture la sección de protocolo del perfil

• Especifique las reglas del nombre de servidor, este campo no puede estar vacío. El campo puede contener el FQDN con el comodín que restringe la conexión de módulo de la postura CA a PSNs del namespace apropiado. Estrella puesta si se permite cualquier FQDN.
  
  
• Los nombres y los IPS especificados aquí son funcionando durante la etapa 2 del descubrimiento de la postura (véase el paso 14 del “flujo de la postura en la sección ISE el 2.2"). Usted puede separar los nombres por el número del puerto de la coma también puede ser agregado después de FQDN/IP usando los dos puntos.

Configuración CA del paso 5.Create. Navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente - > los recursos y el tecleo agregan, después seleccionan la configuración de AnyConnect.

• Seleccione el paquete CA.
  
  
• Proporcione al nombre de la configuración CA.
  
  
• Elija la versión del módulo de la conformidad.
  
  
• Seleccione el perfil de la configuración de la postura CA de la lista desplegable.

Paso 6. Configure la directiva de aprovisionamiento del cliente. Navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente. En caso de la configuración inicial usted puede llenar los valores vacíos en la directiva presentada de los valores por defecto. En usted necesite agregar la directiva a la configuración existente de la postura, navegar a la directiva que puede ser reutilizada y elegir el duplicado arriba o duplicar abajo. La directiva a estrenar puede también ser creada.

Éste es el ejemplo de la directiva usada en el documento.

Elija su configuración CA en la sección del resultado.

Posture las directivas y las condiciones

Se utiliza el control simple de la postura. ISE se configura para controlar la existencia del fichero C:\TEST.txt en el lado del dispositivo del extremo. Los escenarios en la realidad pueden ser mucho más complicados pero los pasos de la Configuración general son lo mismo.

Paso 1. Cree la condición de la postura. Las condiciones de la postura están situadas en los centros de trabajo - > postura - > los elementos de la directiva - > las condiciones. Elija el tipo de condición de la postura y el tecleo agrega. Especifique la información necesaria y haga clic la salvaguardia. Debajo de usted puede encontrar un ejemplo de la condición del servicio que deba controlar si existe el fichero C:\TEST.txt.

Configuración de los requisitos del paso 2.Posture. Navegue a los centros de trabajo - > postura - > los elementos de la directiva - > los requisitos. Esto es un ejemplo para la existencia de TEST.txt del fichero:

Elija su condición de la postura en un nuevo requisito y especifique una acción de la corrección.

Paso 3. Configuración de la política de la postura. Navegue a los centros de trabajo - > postura - > directiva de la postura. Debajo de usted puede encontrar el ejemplo de la directiva utilizado para este documento. La directiva tiene “requisito de la existencia del fichero” asignado como obligatorio y no tiene ningunas otras condiciones asignadas. 

Configure el portal de disposición del cliente

Para la postura sin el cambio de dirección, la configuración del portal de disposición del cliente tiene que ser corregida. Navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente - > portal de disposición del cliente que usted puede utilizar el valor por defecto porta o crear sus los propio.

Esas configuraciones se deben corregir en la configuración porta para el decorado del no-cambio de dirección:

• En la autenticación, especifique la secuencia de la fuente de la identidad que debe ser utilizada si SSO no puede localizar la sesión para el usuario.
  
  
• Según la lista seleccionada de la secuencia de la fuente de la identidad de grupos disponibles se puebla. A este punto usted necesita seleccionar a los grupos que se autorizan para la clave porta.
  
  
• El FQDN del portal de disposición del cliente tiene que ser especificado. Este FQDN debe ser resoluble a ISE PSNs IPS. Los usuarios deben ser dados instrucciones para especificar el FQDN en el buscador Web durante el primer intento de conexión.

Configure los perfiles y las directivas de la autorización

Acceso inicial para el cliente cuando el estatus de la postura no es necesidades disponibles de ser restringido. Esto se podía alcanzar en las diferentes formas:

• Filtro-identificación del radio - con este atributo, el ACL localmente definido en el NAD se puede asignar al usuario con el estatus desconocido de la postura. Pues esto es un atributo estándar RFC, este acercamiento debe trabajar bien para todos los vendedores NAD.
  
  
• Cisco: cisco av-pair = IP: interfaz-config - muy similares a la Filtro-identificación del radio, el ACL localmente definida en el NAD se puede asignar al usuario con el estatus desconocido de la postura. Ejemplo de la configuración:

cisco av-pair = IP: acceso-grupo DENY_SERVER del interface-config=ip adentro

Paso 1. Configure el perfil de la autorización.

Como de costumbre para la postura se requieren dos perfiles de la autorización. Primer uno debe contener cualquier clase de restricciones del acceso a la red. Este perfil se puede aplicar a las autenticaciones para las cuales el estatus de la postura no es igual a obediente. El segundo perfil de la autorización pudo contener apenas los acces del permiso y puede ser aplicado para la sesión con los iguales del estatus de la postura a obediente.

Para crear el perfil de la autorización navegue a los centros de trabajo - > postura - > los elementos de la directiva - > los perfiles de la autorización.

Ejemplo del perfil del acceso restringido con la Filtro-identificación del radio:

Ejemplo del perfil del acceso restringido con el cisco av-pair:

Ejemplo del perfil ilimitado del acceso con la Filtro-identificación del radio:

Ejemplo del perfil ilimitado del acceso con el cisco av-pair:

Paso 2. Configure la directiva de la autorización. Durante las directivas de esta autorización del paso dos debe ser creado. Uno para hacer juego la petición inicial de la autenticación con el estatus desconocido de la postura y en segundo lugar uno de asignar el acceso total después del proceso acertado de la postura.

Es un ejemplo de las directivas simples de la autorización para este caso:

La configuración de la política de autenticación no es una parte de este documento pero usted debe tener presente que la autenticación necesita ser acertado antes de que el proceso de la directiva de la autorización comience.

Verifique

La verificación básica del flujo puede consistir en tres pasos principales:

Paso 1. Verificación de la sesión de VPN del RA en el CONCENTRADOR de FlexVPN:

show crypto session username vpnuser detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect, U - IKE Dynamic Route Update

Interface: Virtual-Access1
Profile: FlexVPN-IKEv2-Profile-1
Uptime: 00:04:40
Session status: UP-ACTIVE     
Peer: 7.7.7.7 port 60644 fvrf: (none) ivrf: (none)
      Phase1_id: example.com
      Desc: (none)
  Session ID: 20  
  IKEv2 SA: local 5.5.5.5/4500 remote 7.7.7.7/60644 Active 
          Capabilities:DNX connid:1 lifetime:23:55:20
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 10.20.30.107 
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 499 drop 0 life (KB/Sec) 4607933/3320
        Outbound: #pkts enc'ed 185 drop 0 life (KB/Sec) 4607945/3320

show crypto ikev2 sa detail
 IPv4 Crypto IKEv2  SA 

Tunnel-id Local                 Remote                fvrf/ivrf            Status 
1         5.5.5.5/4500          7.7.7.7/60644         none/none            READY  
      Encr: AES-CBC, keysize: 256, PRF: SHA512, Hash: SHA512, DH Grp:5, Auth sign: RSA, Auth verify: EAP
      Life/Active Time: 86400/393 sec
      CE id: 1010, Session-id: 8
      Status Description: Negotiation done
      Local spi: 54EC006180B502D8       Remote spi: C3B92D79A86B0DF8
      Local id: cn=flexvpn-hub.example.com
      Remote id: example.com
      Remote EAP id: vpnuser
      Local req msg id:  0              Remote req msg id:  19        
      Local next msg id: 0              Remote next msg id: 19        
      Local req queued:  0              Remote req queued:  19        
      Local window:      5              Remote window:      1         
      DPD configured for 60 seconds, retry 2
      Fragmentation not  configured.
      Dynamic Route Update: disabled
      Extended Authentication configured.
      NAT-T is detected  outside
      Cisco Trust Security SGT is disabled
      Assigned host addr: 10.20.30.107
      Initiator of SA : No

 IPv6 Crypto IKEv2  SA 

Paso 2. Verificación del flujo de la autenticación (registros vivos del radio):

1. Autenticación inicial. Para este paso usted puede estar interesado en la validación que el perfil de la autorización se ha aplicado. Si el perfil inesperado de la autorización se ha aplicado por favor investigue el informe detallado de la autenticación. Usted puede abrir este informe haciendo clic en la lupa en la columna de los detalles. Usted puede comparar los atributos en el informe detallado de la autenticación con la condición en la directiva de la autorización que usted espera hacer juego.
   
   
2. Los datos de sesión cambian, en este estado de la sesión del ejemplo en particular han cambiado de NotApplicable a obediente.
   
   
3. COA al dispositivo de acceso a la red. Este COA debe ser acertado empujar la nueva autenticación del lado NAD y la nueva asignación de la directiva de la autorización en el lado ISE. Si el COA ha fallado usted puede abrir el informe detallado para investigar la razón. La mayoría de los problemas frecuentes con el COA pueden ser:
   • Descanso COA - en tal caso cualquier PSN que ha enviado la petición no se configura como un cliente COA en el lado NAD, o COA que la petición se ha caído en alguna parte en la manera.
   • COA ACK negativo - indique que el COA ha sido recibido por el NAD pero debido a la operación COA del algún motivo no puede ser confirmado. Para este informe detallado del decorado debe contener una explicación más detallada.

Pues el IOS XE basó han utilizado al router como NAD para este ejemplo, usted no puede ver ninguna petición de la autenticación subsiguiente para el usuario. Esto sucede debido al hecho de que ISE utiliza el empuje COA para el IOS XE que evita el interuption del servicio VPN. En tal decorado, el COA sí mismo contiene los nuevos parámetros de autorización, así que el reauthentication no es necesario.

Verificación del informe del paso 3.Posture - Navegue a las operaciones - > señala - > señala - > punto final y los usuarios - > evaluación de la postura por la punto final.

Usted puede abrir el informe detallado de aquí para que cada evento determinado controle por ejemplo a qué ID de sesión pertenece este informe, que los requisitos exactos de la postura fueron seleccionados por ISE para la punto final y también el estatus para cada requisito.

Troubleshooting

Esta sección proporciona a la información que usted puede utilizar para resolver problemas su configuración.

1.  Depuraciones IKEv2 a recoger del headend:
   
   

   debug crypto ikev2
   debug crypto ikev2 packet
   debug crypto ikev2 internal
   debug crypto ikev2 error

2.  Depuraciones AAA para ver la asignación de los atributos del local y/o del telecontrol:
   
   

   debug aaa authorization
   debug aaa authentication
   debug aaa accounting
   debug aaa coa
   debug radius authentication
   debug radius accounting

3. DARDO del cliente de AnyConnect.

4. Para el proceso de la postura que resuelve problemas, esos componentes ISE tienen que ser activados en la depuración en los Nodos ISE donde el proceso de la postura puede suceder:

   • cliente-webapp - componente responsable del aprovisionamiento del agente. Archivos del registro guest.log y ise-psc.log de la blanco.
   • guestacess - componente responsable del cliente provisioning las operaciones de búsqueda porta del propietario del componente y de la sesión (cuando la petición viene perjudicar el PSN). Archivo del registro de la blanco - guest.log.
   • disposición - componente responsable del proceso de la directiva de aprovisionamiento del cliente. Archivo del registro de la blanco - guest.log.
   • postura - todos los eventos relacionados de la postura. Archivo del registro de la blanco - ise-psc.log

5. Para el lado del cliente resolverle problemas puede utilizar:

   • AnyConnect.txt - Este fichero se puede encontrar en el manojo del DARDO y utilizar para el troubleshooting VPN.
   • acisensa.log - En caso del error del aprovisionamiento del cliente en el lado del cliente este fichero se crea en la misma carpeta a la cual se ha descargado el NSA (el directorio de las transferencias directas para Windows normalmente),
   • AnyConnect_ISEPosture.txt - Este fichero se puede encontrar en el manojo del DARDO en el módulo de la postura de Cisco AnyConnect ISE del directorio. Toda la información sobre el descubrimiento PSN ISE y los pasos generales del flujo de la postura se registran en este fichero.